UNA LETTURA CIVILISTICA IN CHIAVE COMPARATA
Rossana Ducato
Stat rosa pristina nomine, nomina nuda tenemus U. Eco1
SOMMARIO: 1. Una storia di diritto e tecnologia: il crepuscolo della defini-
zione di dato personale. 2. La protezione dei dati personali sulle due sponde dell’Atlantico: brevi note comparatistiche. 3. Le definizioni di informazione di carattere personale. 3.1. Il modello europeo. 3.2. Il modello statunitense. 3.3. Il “definitional divide”. 4. L’impatto (dirompente) della tecnologia sulla definizione giuridica. 5. Le soluzioni proposte dai privacy scholars nordameri- cani: di (in)definizioni, interpretazioni contestuali e versioni 2.0. 6. Discussio- ne critica e linee guida per un’indagine.
1. Una storia di diritto e tecnologia: il crepuscolo della definizione di dato personale
Che la riflessione giuridica in materia di privacy sia sempre stata le- gata agli accadimenti tecnologici è una di quelle affermazioni che un
legal scholar potrebbe riportare in un articolo scientifico senza suppor-
to di note a piè di pagina2. La prima epifania del diritto alla privacy,
Un grazie sentito ai professori Sergio Bonini e Roberto Flor per i commenti e i
suggerimenti al paper forniti in occasione delle giornate di studio dell’Associazione Alumni SGCE Il diritto e le definizioni, nonché al prof. Umberto Izzo e ai colleghi Paolo Guarda e Federica Giovanella per il confronto e la preziosa review.
1 U.E
CO, Il nome della rosa. Milano, 1980.
2 Parafrasando J.B
OYLE, A Politics of Intellectual Property: Environmentalism for
the Net?, in Duke L.J., 47, 1997, 87:87. Nonostante tale premessa, sia consentito il rin-
rinvenibile nel seminale lavoro di Warren e Brandeis, rispondeva a una nuova esigenza di protezione dell’individuo che l’invenzione di un arte- fatto tecnologico aveva creato3:
While, for instance, the state of the photographic art was such that one’s picture could seldom be taken without his consciously “sitting” for the purpose, the law of contract or of trust might afford the prudent man sufficient safeguards against the improper circulation of his por- trait; but since the latest advances in photographic art have rendered it possible to take pictures surreptitiously, the doctrines of contract and of trust are inadequate to support the required protection, and the law of tort must be resorted to.
Tali istanze di protezione sono andate rafforzandosi in maniera sempre più impellente con la “rivoluzione dell’informazione”4: l’accre- sciuta capacità di elaborazione di dati, lo sviluppo massivo di database, la diffusione capillare di Internet e della banda larga, il successo globa- le dei social network e le possibilità dischiuse dal cloud computing sono solo alcuni degli accidenti tecnologici che hanno rimodulato il rapporto tra l’individuo e la propria sfera privata.
Tale cambio di paradigma, che ha visto (e, per la verità, vede tutto- ra) la comparsa di nuovi attori, nuove possibilità e nuove dinamiche relazionali, ha, pertanto, sollecitato la riflessione dei giuristi circa i meccanismi di tutela dell’individuo in questa nuova dimensione infor- mazionale. Una riflessione che, partendo dalle elaborazioni in tema di riservatezza e passando per il principio di informationelle Selbstbe-
stimmung è giunta al riconoscimento della protezione dei dati personali
come vero e proprio diritto fondamentale dell’era digitale5.
3 S.D. W
ARREN,L.D.BRANDEIS, The right to privacy, in Harv. L. Rev., vol. 4, n. 5, 1890, 193:211.
4 L.F
LORIDI, Information: A Very Short Introduction, Oxford, 2010.
5 Sull’evoluzione storica delle elaborazioni in tema di privacy, vedi ex multis
M. LOSANO, Il diritto pubblico dell’informatica, Torino, 1986; L.BYGRAVE, Privacy
Protection in a Global Context – A Comparative Overview, in Scandinavian Studies in Law, 2004, vol. 47, 319;G. RESTA, Il diritto alla protezione dei dati personali, in F. CARDARELLI,S.SICA,V.ZENO-ZENCOVICH (a cura di), Il codice dei dati personali.
Temi e problemi, Milano, 2004, 11; S.NIGER, Le nuove dimensioni della privacy: dal
Il bilanciamento tra le istanze della c.d. “quarta rivoluzione”6 e la protezione dell’individuo è stato esplicitato in maniera paradigmatica già nel titolo direttiva 95/46/CE7, relativa “alla tutela delle persone fisi- che con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”. Il baricentro di questo equilibrio è stato ipo- statizzato nella definizione di dato personale, con una conseguenza giu- ridica molto semplice: la disciplina in materia di protezione dei dati personali si applica esclusivamente a quelle informazioni qualificabili come dato personale e non anche a quelle che tali non possano ritenersi (perché anonime o anonimizzate).
La tecnologia ha, però, imposto ancora una volta un’accelerazione alla riflessione giuridica, in quanto nuovi progressi hanno messo in crisi la definizione stessa di dato personale, rendendo più incerti i confini tra quest’ultimo e il “dato anonimo”: lo sviluppo della scienza della re- identificazione, il fenomeno dei Big Data e la tendenza a condividere spontaneamente sempre più informazioni personali in Rete hanno am- pliato le possibilità di ricollegare tracce disseminate nel contesto online a persone concrete8. Alcuni casi recenti – come lo scandalo di Netflix o
La protezione della riservatezza e l’inviolabilità della corrispondenza, in R.NANIA, P. RIDOLA, I diritti costituzionali, Torino, 2006, 617; A. MANTELERO, Il costo della
privacy tra valore della persona e ragione d’impresa, Milano, 2007; G.PASCUZZI, Il
diritto dell’era digitale, Bologna, 2010; P.M.SCHWARTZ,K.PEIFER, Prosser’s “Priva-
cy” and the German Right of Personality: Are Four Privacy Torts Better than One Unitary Concept?, in Cal. L. Rev., 2010, 1925.
6 Quella dell’informazione sarebbe l’ultima in ordine di tempo delle rivoluzioni
scientifiche che hanno modificato profondamente l’approccio dell’uomo verso il mondo e, di conseguenza, verso se stesso: la rivoluzione copernicana, quella darwiniana e, infi- ne, quella freudiana hanno rispettivamente svelato le illusioni della teoria tolemaica, dell’antropocentrismo e della razionalità, rimodellando l’ontologia stessa della realtà. Sul punto si veda L.FLORIDI, op. cit. Si veda, inoltre, ID., The Fourth Revolution, Ox- ford, 2014.
7 Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,
relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in G.U.C.E. n. L 281 del 23 novembre 1995, 31-50.
8 Sull’obsolescenza dei nomenclatori della normativa in materia di privacy, si rinvia
alle riflessioni lumeggiate in P.GUARDA, Fascicolo Sanitario elettronico e protezione
di America Online9 o, ancora, le scoperte del genome-hacker Yaniv Erlich10 – hanno disvelato le “broken promises”11 della privacy nell’era digitale, dimostrando come sia possibile risalire all’identità di una per- sona attraverso l’estrazione e l’aggregazione di dati non identificativi.
Alla luce di tali considerazioni, alcuni autori hanno sostenuto l’ob- solescenza della definizione di dato personale, fino ad affermare la ne- cessità di rinunciare alla medesima, in favore di un sistema di tutela calibrato su una matrice di “rischio del danno”12.
L’obiettivo del presente lavoro muove in una duplice direzione: in primo luogo, s’intende analizzare in prospettiva comparata come e fino a che punto la tecnologia stia incidendo sulla validità della definizione di dato personale e come ciò impatti sull’ordito normativo della priva-
cy. In questo senso, si indagheranno le risposte fornite negli ordinamen-
ti giuridici che costituiscono i due modelli di riferimento in materia – Unione europea e Stati Uniti –, non solo avendo riguardo al formante dottrinale, ma anche alle regole di soft law e alle linee guida elaborate da agenzie specializzate e gruppi di esperti.
In seconda battuta, si affronteranno in chiave critica le proposte avanzate in letteratura circa la preferibilità di una (in)definizione di da- to personale ovvero una rimodulazione della definizione stessa. Si cer- cherà di mettere in evidenza luci e ombre di tali elaborazioni teoriche, che rischiano di scardinare uno dei pilastri attorno cui è stata eretta la disciplina in materia di protezione dei dati personali.
9 Su cui S.B
AROCAS,H.NISSENBAUM, Big Data’s end run around anonimity and
consent, in J.LANE E AL. (eds.), Privacy, Big Data, and the Public Good, Cambridge, 2014, 44.
10 Come soprannominato da E.C.H
AYDEN, Privacy protections: The genome hac-
ker, in Nature 497.7448, 2013, 172.
11 Riprendendo l’espressione di P.O
HM, Broken promises of privacy: Responding to
the surprising failure of anonymization, in UCLA L. Rev., 57, 2010, 1701.
12 Sul punto si tornerà più approfonditamente nel prosieguo. Tuttavia, vedi sin d’ora
P.OHM, op. cit.; P.M.SCHWARTZ,D.J.SOLOVE, The PII Problem: Privacy and a New
Concept of Personally Identifiable Information, in NYUL Rev., 86, 2011, 1814;
E. GRATTON, If Personal Information Is Privacy’s Gatekeeper, then Risk of Harm is the
Key: A Proposed Method for Determining What Counts as Personal Information, in Alb. L.J. Sci. & Tech., 24, 2013, 105.
2. La protezione dei dati personali sulle due sponde dell’Atlantico: bre- vi note comparatistiche
La dimensione intrinsecamente transnazionale della circolazione dell’informazione rende imprescindibile l’analisi del dato comparatisti- co per comprendere la magnitudine di tale cambiamento.
Il modello europeo e quello statunitense costituiscono i due princi- pali paradigmi in materia di protezione dei dati personali che si pongo- no all’attenzione del giurista.
Il modello europeo è stato pioniere nel versare in strumenti normati- vi di ampio respiro una risposta ai pericoli per la privacy di cui si co- minciava a maturare la consapevolezza di fronte alla rapida innovazio- ne della tecnologia informatica e computazionale. Con la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, n. 108/1981 (“Convenzione di Strasbur- go”)13, che internalizzava raccomandazioni e risoluzioni emanate già negli anni ’60 e ’70, il Consiglio d’Europa ha inteso fornire uno stru- mento di armonizzazione delle legislazioni nazionali in materia con un duplice obiettivo: rafforzare la tutela della privacy informazionale ri- spetto alla protezione accordata al diritto alla vita privata dalla CEDU al suo articolo 8, garantendo al contempo la libera circolazione tran- sfrontaliera dell’informazione nell’ottica di bilanciamento con il diritto alla libertà d’espressione (previsto all’art. 10 CEDU)14.
Tale contemperamento di interessi, come si accennava, è stato fatto proprio anche dalla Direttiva 95/46/CE, che allo stato attuale rappresen- ta l’exemplum di normazione organica della materia più complesso a livello internazionale, garantendo una tutela ampia e generale ogniqual- volta si realizzi un “trattamento di dati personali interamente o parzial- mente automatizzato nonché [un] trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi”15.
L’ambito di applicazione della Direttiva 95/46/CE, come si vedrà a breve, è particolarmente esteso: si sottraggono alla sua disciplina solo
13 La Convenzione è stata ratificata dall’Italia con la L. 21 febbraio 1989, n. 98, in
G.U. n. 66 del 20 marzo 1989 - Suppl. Ordinario n. 19.
14 L.B
YGRAVE, Data Privacy Law, an International Perspective, Oxford, 2014, 35.
quei trattamenti effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto dell’UE, come quelle previste dai titoli V e VI del TUE e comunque quei trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato e le attività dello Stato in materia di diritto penale; le disposizioni della Direttiva non tro- vano applicazione in un unico e ulteriore caso, ossia qualora il trattamen- to sia effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (si tratta della c.d. household
exemption)16.
L’ordinamento statunitense, al contrario, offre una protezione estremamente frammentata tra diversi tort, leggi statali e leggi federali: solo alcuni tipi di informazione, con determinate caratteristiche, esclu- sivamente in certi contesti e limitatamente a un dato ambito soggettivo di applicazione sono oggetto di una tutela specifica17. È il caso del
Children’s Online Privacy Protection Act (COPPA)18 uno statute fede-
rale che si applica esclusivamente alla raccolta online di informazioni di carattere personale di minori di 13 anni; dell’Health Insurance Port-
ability and Accountability Act (HIPAA)19 che regola l’uso e la diffusio-
ne di “protected health information” (PHI) – ovvero di “individually identifiable health information”, dati sanitari che si riferiscono a un soggetto identificato o che possono essere ragionevolmente utilizzati per identificare un individuo – e si dirige esclusivamente a quei soggetti che rientrano nella nozione di covered entity20 o di business associate21; o, ancora del Video Privacy Protection Act (VPPA)22, che tutela le in- formazioni che identificano un soggetto che ha richiesto ed ottenuto
16 Vedi art. 3, comma 2, Direttiva 95/46/CE.
17 Per una overview generale della tutela della privacy nel sistema statunitense si
rinvia a D.J.SOLOVE,P.M.SCHWARTZ, Privacy Law Fundamentals, Portsmouth, 2015.
18 15 U.S.C. §§ 6501-6506 (Pub.L. 105-277, 112 Stat. 2681-728, enacted October
21, 1998).
19 Pub.L. 104-191, 110 Stat. 1936, enacted August 21, 1996.
20 Secondo quanto previsto dall’HIPAA rientrano nella nozione di covered entity tre
tipologie di soggetti o enti: “1) a health plan; 2) a health care clearinghouse; 3) a health care provider who transmits any health information in electronic form in connection with a transaction covered by this subchapter” (45 C.F.R. § 160.102).
21 45 C.F.R. § 160.103. 22 18 U.S.C. § 2710.
materiali video specifici o servizi da un fornitore di contenuti audio- video; l’elenco potrebbe proseguire a lungo23.
Semplificando i termini di un discorso più complesso, possiamo in questa sede evidenziare come la disciplina europea ponga in esponente la protezione dei dati personali come diritto fondamentale della persona (adesso “costituzionalizzato” con il Trattato di Lisbona)24, mentre il sistema statunitense adotti un approccio più lasco, valorizzando la libe- ra circolazione delle informazioni e intervenendo settorialmente a livel- lo legislativo qualora un dato trattamento o le sue modalità siano ritenu- ti potenzialmente forieri di danni alla persona25.
Nonostante le divergenze nell’oggetto e nell’ambito di applicazione – che Bygrave ha efficacemente descritto come “transatlantic data pri- vacy divide”26 –, la disciplina di entrambi i sistemi giuridici si centra sulla definizione di informazione di carattere personale: per un verso, il sistema europeo utilizza il termine “dati personali”, per altro, la produ- zione normativa statunitense fa perno sul concetto di “Personally Iden- tifiable Information” (PII).
Analizzare le diverse definizioni di informazione di carattere perso- nale fornite nei due ordinamenti appare un passaggio fondamentale, in quanto esse determinano e circoscrivono l’ambito applicativo delle re-
23 Per una completa rassegna, si rimanda a D.J.S
OLOVE,P.M.SCHWARTZ, op. cit.
24 La Carta dei diritti fondamentali dell’Unione europea riconosce all’art. 8 il diritto
alla protezione dei dati personali. Tale diritto è previsto altresì all’art. 16, comma 1, TFUE. Cfr L. BYGRAVE, Data Privacy Law, cit., 58 e ss.; F. FABBRINI, The EU Charter
of Fundamental Rights and the Rights to Data Privacy: The EU Court of Justice as a Human Rights Court, in iCourts Working Paper Series, No. 19. Tale impostazione ri-
sulta confermata nel nuovo General Data Protection Regulation (GDPR), che all’art. 1, comma 2, annovera il diritto alla protezione dei dati personali tra i diritti e le libertà fondamentali della persona.
25 Ex multis, F.H.C
ATE, Privacy in the Information Age, Washington, 1997, 32-33; M.ROTENBERG, Fair Information Practices and the Architecture of Privacy (What Lar-
ry Doesn’t Get), in Stan. Tech. L. Rev. 1, 2001, § 28; A.L.NEWMAN, Protectors of Pri-
vacy: Regulating Personal Data in the Global Economy, Ithaca-London, 2008, 23 e ss.;
L. BYGRAVE, Data Privacy Law, cit., 107 e ss.; P.M.SCHWARTZ,D.J.SOLOVE, Recon-
ciling personal information in the United States and European Union, in Cal. L. Rev.
102, 2014, 877 (in particolare, 880-881); O.LYNSKEY, The Foundations of EU Data
Protection Law, Oxford, 2015, 15 e ss.
26 L. B
lative discipline. Siffatto “telaio” su cui l’ordito normativo in materia di
privacy si tende – e si è teso per più di quarant’anni – risulta fortemente
compromesso dall’innovazione tecnologica, che ne evidenzia in manie- ra poco clemente tutti i tratti di obsolescenza.
3. Le definizioni di informazione di carattere personale 3.1. Il modello europeo
La Convenzione di Strasburgo del 1981 conosceva già il concetto di “dati a carattere personale”, per tali intendendo27: «Ogni informazione concernente una persona fisica identificata o identificabile (“persona interessata”)».
Riprendendo quasi pedissequamente tale formulazione, la Direttiva 95/46/CE, ha immesso nel lessico giuridico il lemma “dati personali”, definendoli come28:
qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la per- sona che può essere identificata, direttamente o indirettamente, in parti- colare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale.
L’intenzione del Legislatore europeo è stata quella di predisporre una protezione ampia e generale, attraverso l’adozione di una defini- zione unica di dato personale, che include qualsiasi informazione che si possa riferire a una persona fisica che sia identificata o che lo possa essere indirettamente29.
Questa impostazione è stata seguita anche nell’implementazione na- zionale della Direttiva 95/46/CE. Il d.lgs. 30 giugno 2003, n. 196 (Co-
27 Art. 2, comma 1, lett. a), Convenzione di Strasburgo. 28 Art. 2, comma 1, lett. a), Direttiva 95/46/CE.
29 Sul punto si rinvia alla dettagliata analisi condotta dal WP29 nel Parere 4/2007
sul concetto di dati personali, reperibile all’URL: <http://ec.europa.eu/justice/policies/ privacy/docs/wpdocs/2007/wp136_it.pdf>.
dice in materia di protezione dei dati personali, d’ora in avanti “Codice
privacy”)30 prevede, infatti, che debba intendersi per dato personale31:
qualunque informazione relativa a persona fisica, identificata o identifi- cabile, anche indirettamente, mediante riferimento a qualsiasi altra in- formazione, ivi compreso un numero di identificazione personale.
Siffatto approccio “generalista” e inclusivo risulta confermato anche nel Regolamento generale sulla protezione dei dati personali (GDPR), la riforma, a lungo attesa in materia di privacy, che ambisce ad unifica- re il quadro normativo dell’Unione, aggiornando l’armamentario giuri- dico della Direttiva 95/46/CE per renderlo efficace innanzi alle sfide dell’era digitale32. L’art. 4, n. 1, GDPR sembra seguire a livello decla- matorio l’intento espansivo della definizione di dato personale, laddove stabilisce che si tratta di:
any information relating to an identified or identifiable natural person ‘data subject’; an identifiable person is one who can be identified, di- rectly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person.
Il tratto comune che emerge dalla lettura comparata delle definizioni appena passate in rassegna è rappresentato da quattro elementi:
30 D.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali,
in G.U. n. 174 del 29 luglio 2003 - Suppl. Ordinario n. 123.
31 Art. 4, comma 1, lett. b, Codice privacy.
32 Dopo una gestazione di quasi quattro anni, l’accordo sul testo finale del Regola-
mento è stato raggiunto nel dicembre 2015 e la sua entrata in vigore è attesa per la pri- mavera del 2018. Il testo consolidato è disponibile all’URL: http:// static. ow.ly/docs/ Regulation_consolidated_text_EN_47uW.pdf. Alcune analisi preliminari alla proposta di Regolamento sono offerte in P.DE HERT,V.PAPAKONSTANTINOU, The proposed data
protection Regulation replacing Directive 95/46/EC: A sound system for the protection of individuals, in Computer Law & Security Review, 28.2, 2012, 130; F.GILBERT, Pro-
posed EU data protection regulation: the good, the bad, and the unknown, in J. IN- TERNET L., 15, 2012, 1; C.CUIJPERS,N.PURTOVA,E.KOSTA, Data Protection Reform
and the Internet: The Draft Data Protection Regulation, in A.SAVIN,J.TRZASKOWSKI (eds.), Research Handbook on EU Internet Law, 2014, 543.
a. la generalità. Il dato personale può consistere in qualsiasi tipologia di informazione, indipendentemente dalla sua natura, dal suo contenu- to, dal suo formato;
b. la riferibilità. Il dato deve concernere un soggetto (l’interessato) e la sua sfera giuridica;
c. la “personalità”. Il dato deve cioè appartenere ad una persona fisi- ca33;
d. l’identificabilità. Perché il dato possa considerarsi personale deve essere relativo ad una persona che sia identificata ovvero che possa esserlo direttamente o indirettamente.
Con l’intento di fornire una nozione condivisa, il Gruppo di Lavoro Art. 29 per la protezione dei dati personali (d’ora in avanti “WP29”) nell’opinion sul concetto di dati personali è entrato nel merito dei quat- tro elementi come sopra isolati, restituendoci una concezione di dato personale di ampio respiro – in linea con le pronunce della Corte euro- pea dei diritti umani e della Corte di Giustizia – e, per l’effetto, un am- bito di applicazione della disciplina a sua tutela molto esteso34. La tec- nologia ha inciso in misura diversa sui quattro elementi sopra divisati, ma è indubbiamente la nozione di identificabilità quella maggiormente sollecitata nel nuovo contesto di riferimento. Essa, infatti, dipende dal- l’“insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri” per identificare la persona (co- me previsto dal considerando 26 della Direttiva 95/46/CE e ribadito dal
33 Il WP29 introduce, tuttavia, alcune eccezioni a questa regola generale. I dati dei
defunti, dei nascituri o delle persone giuridiche possono in alcuni casi beneficiare indi- rettamente della protezione di cui alla direttiva 95/46/CE o direttamente qualora l’ordi-